[发明专利]一种穿透LINUX类防火墙建立通信的方法

说明书

技术领域

本发明涉及计算机网络通信领域，特别是配置有LINUX防火墙的两个计算机内网之间的通信。

背景技术

NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它允许一个整体机构以一个公用IP地址出现在Internet上，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。当内部节点要与外部网络进行通讯时，NAT将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共 IP地址紧缺的问题。通过这种方法，只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户不会意识到NAT的存在。

NAT有三种类型：静态NAT(Static NAT)，动态地址NAT(Pooled NAT),网络地址端口转换NAPT。

其中静态NAT是内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址，动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络，NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。

典型的NAPT有以下几种类型：Full Cone NAT，Restricted Cone NAT，Port Restricted Cone NAT和Symmetric NAT，前三种为锥形NAT，最后一种为对称NAT。

NAT 功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。

在NAPT方式下，由于NAT的存在，两台分属不同内网的主机不能看到对方，因此有些情况下不能直接通信。要实现通信，需借助双方都可以直接进行通信的主机进行转发，但由于带宽等因素的限制，现在又发展出了一种“打洞”技术。

由于技术上的限制，锥形NAT方式下可以实现打洞，对称NAT方式下打洞是不可能的。

锥形NAT方式下，传统的打洞方式执行下面步骤：

假设有两个分属不同内网的主机A和B以及一台A和B都可以访问到的公网上的服务器C，A的内网地址是192.168.1.2，端口号是3000，B的内网地址是10.1.1.2，端口号是4000，A和B不可以直接通信，因为两个IP都是内网IP不可以在公网上传递。这需要防火墙采用NAT进行地址端口转换。下面步骤实现打洞：

1、主机A使用地址（192.168.1.2:3000）作为源地址发送UDP报文到C，A前面的防火墙FA是1.1.1.1, A发出的数据包到达FA后，地址变化为1.1.1.1:4000。

2、主机B使用地址（10.1.1.2:4000）作为源地址发送UDP报文到C，B前面的防火墙FB是2.2.2.2, B发出的数据包到达FB后，地址变化为2.2.2.2:5000。

3、C通过（1.1.1.1:4000）将B的地址（2.2.2.2:5000）告知A（2.2.2.2:5000）将A的地址（1.1.1.1:4000）告知B。

4、主机A使用地址（192.168.1.2:3000）作为源地址向B发送UDP报文，A前面的防火墙FA是1.1.1.1, A发出的数据包到达FA后，地址变化为1.1.1.1:4000。这个报文是会被B前面的防火墙拒绝的，该报文的作用是建立B到（1.1.1.1:4000）的通道，就是“打洞”。

5、主机B使用地址（10.1.1.2:4000）作为源地址向A发送UDP报文，B前面的防火墙FB是2.2.2.2, B发出的数据包到达FB后，地址变化为2.2.2.2:5000，该报文可以穿过A前面的防火墙到达A，因为在步骤4中已经建立了B到（1.1.1.1:4000）的通道。

6、主机A和B可以正常通信。